Aanhangsel van de Handelingen
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2019-2020 | 3489 |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2019-2020 | 3489 |
Wanneer bent u op de hoogte gesteld van het bestaan van de FSV en van de gegevensbeschermingseffectbeoordeling FSV (Fraude Signalering Voorziening)?
Wij zijn naar aanleiding van persvragen van RTL Nieuws en Trouw (van 10 februari) op 18 februari 2020 op de hoogte gesteld van het feit dat er binnen de Belastingdienst een applicatie met de naam Fraude Signalering Voorziening (FSV) is en dat er een GEB was uitgevoerd.
Bent u bekend met het feit dat artikel 35, lid 2, van de AVG stelt: «Wanneer een functionaris voor gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een gegevensbeschermingseffectbeoordeling diens advies in.»?
Wanneer is de functionaris voor gegevensbescherming (van het Ministerie van Financiën en de Belastingdienst) ingelicht over het uitvoeren van deze gegevensbeschermingseffectbeoordeling?
De functionaris voor gegevensbescherming van het Ministerie van Financiën (FG) is op 20 februari 2020 door de privacyofficer van de Belastingdienst mondeling geïnformeerd over de GEB.
Wanneer heeft de functionaris voor gegevensbescherming de gegevensbeschermingseffectbeoordeling (welke versie dan ook) ontvangen?
Op 20 februari 2020 is de GEB ter informatie aan de FG gestuurd. Op 26 februari 2020 is de GEB nogmaals aan de FG gestuurd en is hem formeel om advies gevraagd over de GEB, versie 1.2 van november 2019. Na ontvangst van het advies van de FG is door de Belastingdienst besloten om FSV uit te schakelen.
Bent u op de hoogte van artikel 36 van de AVG die stelt: «Wanneer uit een gegevensbeschermingseffectbeoordeling krachtens artikel 35 blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken, raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de toezichthoudende autoriteit.»?
Heeft u kennis genomen van de conclusie: «In zijn algemeenheid kan worden geconcludeerd dat de huidige opzet van FSV geen goede aansluiting (meer) heeft op de verwerkingsbeginselen van art. 5 AVG. Ten aanzien van elk van de 10 in dit artikel genoemde beginselen zijn een of meer bevindingen gedaan en afgeleid daarvan zijn er privacy risico's gesignaleerd.»? En deelt u de mening dat er een hoog risico is?
De conclusie is getrokken op basis van een GEB op de applicatie, waarbij de verwerkingen zelf zijdelings geraakt zijn. De conclusie was voor de Belastingdienst voldoende om de applicatie FSV uit te schakelen. De Belastingdienst heeft besloten de betrokken processen opnieuw te ontwerpen, inclusief de bijbehorende informatievoorziening.
Heeft de functionaris voor gegevensbescherming of iemand anders bij de Belastingdienst de Autoriteit Persoonsgegevens (AP) op de hoogte gesteld van de redelijk schokkende uitkomsten van deze gegevensbeschermingseffectbeoordeling? Zo ja, wie heeft dat gedaan? Zo nee, waarom niet?
Heeft de Belastingdienst de AP ooit op de hoogte gesteld van de uitkomst van een gegevensbeschermingseffectbeoordeling, omdat er risicos zijn? Zo ja, bij welke gegevensbeschermingseffectbeoordeling is dat gebeurd?
De AP moet om advies worden gevraagd als er sprake is van een verwerking met een hoog risico voor de privacy van de burger dat niet met passende maatregelen is weg te nemen. De Belastingdienst heeft op 2 maart 2020 de AP geïnformeerd over FSV omdat er een applicatie in gebruik was waarbij de mitigerende maatregelen onvoldoende geïmplementeerd waren. Inmiddels heeft de AP aangegeven dat er een onderzoek is gestart. Wij zullen u informeren over de uitkomsten van dit onderzoek.
Indien de Belastingdienst de AP niet op de hoogte gesteld heeft, wilt u dat dan per ommegaande doen en de Kamer op de hoogte houden van elke brief en elke besluit dat de AP neemt?
De AP is geïnformeerd op 2 maart 2020. De AP heeft inmiddels een onderzoek gestart naar de verwerking van persoonsgegevens in en om de applicatie FSV. Ik zal uw Kamer op de hoogte houden van brieven en besluiten van de AP in deze kwestie.
Indien de AP niet op de hoogte gesteld is van deze gegevensbeschermingseffectbeoordeling over het FSV, wat heeft de Belastingdienst dan geleerd van eerdere affaires waarin de AP pas op de hoogte gesteld is van grote problemen met privacy na publiciteit en Kamervragen, zoals bij de affaire rondom de broedkamer en bij het bijhouden van de dubbele nationaliteit?
Zoals ook in de brief bij deze beantwoording aangegeven:. de problematiek rond FSV en projectcode 1043 en de gebeurtenissen rond de kinderopvangtoeslag, laten zien dat de opzet, inrichting en werking bij risicoselectie en vervolgens het onderzoek naar de geselecteerde signalen binnen de Belastingdienst onvoldoende zijn. Er wordt niet voldaan aan wettelijke vereisten, waaronder de Algemene verordening gegevensbescherming (AVG) en de beginselen van behoorlijk bestuur, noodzakelijke waarborgen en menselijke maat die hiervoor noodzakelijk zijn. Deze conclusie is hard en vraagt om een grootschalige verbeteraanpak waarbij zowel het zowel noodzakelijk is om direct maatregelen te treffen als verder onderzoek te doen. Burgers en bedrijven moeten erop kunnen vertrouwen dat de behandeling door de Belastingdienst op een rechtvaardige manier gebeurt.
Deelt u de mening van de indiener dat de AP ondertussen niet serieus genomen wordt door de Belastingdienst als toezichthouder?
Nee, dit beeld deel ik niet. De Belastingdienst hecht veel waarde aan het oordeel van de AP.
Hoe zou u het vinden als een belastingplichtige zich opstelt ten opzichte van de Belastingdienst, zoals de Belastingdienst zich nu opstelt ten opzichte van de autoriteit persoonsgegevens?
De Belastingdienst neemt de AP en burgers serieus. Ook de Belastingdienst moet zich aan de wet houden. We hebben helaas geconstateerd dat dat hier niet is gebeurd.
Hoeveel personen (rechtspersonen, natuurlijke personen) stonden op 1/1/2019 (voor het opschonen) geregistreerd in het FSV?
Het is niet bekend hoeveel personen op 1 januari 2019 in FSV geregistreerd stonden. Ik kan u alleen de aantallen geven voor en na de schoning van 27 februari 2020.
Natuurlijke personen |
Rechtspersonen |
Onbekend |
Totaal |
|
---|---|---|---|---|
Vóór schoning aantal unieke BSN |
244.273 |
85.350 |
6 |
329.629 |
Na schoning aantal unieke BSN |
133.508 |
52.542 |
5 |
186.055 |
Verschil |
110.765 |
32.808 |
1 |
143.574 |
Onbekend: identificatienummer is een niet uitgegeven nummer.
Op welke wijze kunnen mensen inzage krijgen in hun registratie in het FSV? Bent u bereid mensen hierover actief te informeren?
Het inzagerecht van de AVG is een belangrijk recht voor de burger. Op deze manier kan een burger controleren of de persoonsgegevens die worden verwerkt juist zijn. In de brief bij deze set antwoorden gaan wij uitgebreid in op de wijze waarop de inzageverzoeken behandeld worden.
Hoe gaat u ervoor zorgen dat de Belastingdienst fraudesignalen wel op een nette manier bijhoudt?
We hebben besloten om FSV niet meer te gebruiken. We gaan de processen voor het verwerken van signalen opnieuw ontwerpen, conform de vereisten uit de AVG en andere relevante wet- en regelgeving inclusief de bijbehorende applicatie(s).
Zijn de gegevens van de FSV, die kennelijk nu niet meer gebruikt wordt, in andere systemen overgenomen? Zo ja, in welke systemen en wordt in die systemen de AVG dan wel nageleefd?
Nee, de gegevens van FSV zijn niet overgenomen in andere systemen van de Belastingdienst en er is ook geen automatische koppeling die gegevens aan FSV levert of ontvangt uit FSV. Niet uit te sluiten is dat individuele medewerkers handmatig informatie uit FSV in andere systemen hebben gezet. Dit is niet te achterhalen.
Heeft u de ADR en de commissie-Donner op de hoogte gesteld van het bestaan van FSV en de gegevensbeschermingseffectbeoordeling? Zo nee, waarom niet en wilt u dat per ommegaande doen?
Naar aanleiding van vragen van de Adviescommissie uitvoering toeslagen en van de ADR is zowel aan de Adviescommissie als aan de ADR op verschillende momenten een aantal documenten verstrekt. In enkele daarvan komt FSV aan de orde. In deze documenten is onder meer te lezen dat FSV een applicatie is waarin signalen worden geregistreerd en worden voorbeelden van signalen gegeven. De GEB van FSV is begin maart jl. aan zowel AUT als de ADR gezonden. Eerder heb ik uw Kamer, in mijn antwoorden van 27 februari jl. (Kenmerk 2020D08166) meegedeeld in welke bronbestanden de ADR precies onderzoek doet. Het feit dat de FSV daarin niet genoemd wordt betekent dus niet dat AUT en ADR niet op de hoogte waren van FSV.
Kunt u deze vragen een voor een en binnen twee weken beantwoorden? En kunt u nog voor het AO Belastingdienst aan de Kamer meedelen of en wanneer de AP geïnformeerd is of geïnformeerd wordt over deze gegevensbeschermingseffectbeoordeling?
Zoals aangegeven in onze brief van 19 maart 20201 hangen de schriftelijke vragen over FSV nauw samen met de in het Algemeen Overleg van 4 maart toegezegde brief over de FSV. Om die reden hebben we deze schriftelijke vragen gecombineerd met deze brief. Zoals eerder aangegeven heeft de Belastingdienst de AP op 2 maart 2020 geïnformeerd.
Deze vragen dienen ter aanvulling op eerdere vragen terzake van het lid Leijten (SP), ingezonden 4 maart 2020 (vraagnummer 2020Z04218).
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/ah-tk-20192020-3489.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.